Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Das STARTTLS-Zertifikat läuft in Kürze ab

Mitglied: anve

anve (Level 1) - Jetzt verbinden

18.07.2012, aktualisiert 09:54 Uhr, 15203 Aufrufe, 8 Kommentare

Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: meineDomäne, verbleibende Stunden: BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969. Führen Sie das Cmdlet "New-ExchangeCertificate" aus, um eine neues Zertifikat zu erstellen.

Hi,

wie es aussieht muss ich das Zertifikat erneuen. Folgende Zertifikate sind installiert:

01.
Get-ExchangeCertificate| fl Name, Thum*, Services, Not*
Thumbprint : FD5FC82528FE866955D533C9C27744336C351998
Services : None
NotAfter : 26.05.2013 04:41:19
NotBefore : 26.05.2012 04:41:19
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
Thumbprint : BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969
Services : IMAP, POP, IIS, SMTP
NotAfter : 17.08.2012 15:37:50
NotBefore : 18.08.2010 15:37:50
Thumbprint : 680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24
Services : SMTP
NotAfter : 29.12.2010 22:50:04
NotBefore : 29.12.2008 22:50:04
Thumbprint : D33A25F75616AC8DA65CC1CA6CA8B56C304D8099
Services : None
NotAfter : 29.12.2013 22:59:25
NotBefore : 29.12.2008 22:49:27
Thumbprint : 6EF7CFFD050DCE1EEB3C324F878AB8C0762DBCB3
Services : None
NotAfter : 27.12.2018 22:11:00
NotBefore : 29.12.2008 22:11:00

Ich bin bei der Suche auf diesen Artikel gestoßen. Wenn ich

01.
get-exchangecertificate | list
auführe, bekomme ich die Details zu den oben genannten Zertifakten. Das betroffenen Zertifikat (BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969) läuft am 17.8.2012 erst ab. Dieses muss erneuert werden. Ich kann mir aber nicht ganz vorstellen dass ein

01.
New-ExchangeCertificate
das Problem einfach löst (Doku New-ExchangeCertificate). Werden hierbei alle Zertifikate erneuert? Warum sind hier überhaupt so viele Zertifikate zu finden?

680F2B62899D0AC1EA1A31A9BDCF8E0789D43A24 hat den Status DateInvalid - kann ich das dann löschen? Wie?

Dann gibt es Zertifikate denen keine Services zugeordnet sind. Brauche ich die überhaupt noch? Kann ich die auch löschen?

Dann habe ich das Zertifikat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D welches sich mit den Services mit BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 überschneidet. Ist das hier doppelt gemoppelt?

Im Endeffekt will ich nur das betroffene Zertifikat erneuern und sicherstellen, dass alles weiterfunktioniert wie bisher. Sollte ich dazu den Befehl

01.
Get-ExchangeCertificate -thumbprint ... | New-ExchangeCertificate
verwenden?

Vielen Dank für eure Hilfe!

Grüße
anve
Mitglied: SlainteMhath
18.07.2012, aktualisiert um 15:18 Uhr
Moin,

zum erneuern des Certs geht man wie folgt vor:

1. Neus Zerfifikat erstellen, Abfrage mit Y/J beantworten:
New-ExchangeCertificate

2. Zertifikate anzeigen:
Get-ExchangeCertificate | fl

3. Den Thumbprint des eben erstellen Zerfikates (auf datum+Uhrzeit achten!) in die Zwischenablage kopieren

4. Zertifikat aktivieren:
Enable-ExchangeCertificate -Thumbprint * -Services IIS,POP,IMAP,SMTP
( * den Thumbprint aus der Zwischenablage einfügen)

5. Nach Aktivierung des Certs den MS Exchange Transport Service durchstarten.

lg,
Slainte
Bitte warten ..
Mitglied: anve
23.07.2012, aktualisiert um 09:33 Uhr
Wenn ich den Befehl "New-ExchangeCertificate" eingebe, bekomme ich folgende Meldung:

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domainname.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'4E1C89B67081422F6A9C1FB9C1745AC351D8C74D' (läuft ab am 24.08.2012 08:55:23)
mit Zertifikat 'F141AFD2548B75613F927C7DA3526185FCE1FCE6' (läuft ab am
23.07.2017 09:26:32) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Soll ich es überschreiben? Kann ich das alte Zertifikat irgendwie sichern?

Edit: So bin auf "Nein, keine" gegangen und er hat mir ein neues Zertifikat erstellt. Soll ich dieses löschen?
Bitte warten ..
Mitglied: SlainteMhath
26.07.2012 um 09:06 Uhr
Ja, du kannst das überschreiben. Das Zert. muss lediglich gültig sein und dem im Connector eingetragenen Domainnamen entsprechen. Geht einfach so vor, wie von mir oben beschrieben.
Bitte warten ..
Mitglied: anve
27.07.2012, aktualisiert um 09:32 Uhr
Das alte Zertifikat kann ich aber immer noch in der Übersicht finden. Ist das so OK?

Das betroffene Zertifikat hatte IIS und SMTP als Service eingetragen. Das Zertifikat was ich eigentlich erneuern wollte ist aber noch da. Einfach nochmals deine Befehle ausführen?
Bitte warten ..
Mitglied: SlainteMhath
27.07.2012 um 09:33 Uhr
Es werden immer alle Certs angezeigt die der Exchange "kennt" mit Enable-ExchangeCertificate legst Du das aktive fest.
Bitte warten ..
Mitglied: anve
27.07.2012 um 09:38 Uhr
Woran erkenne ich welches aktiv ist? Kann ich nochmals "New-ExchangeCertificate" (also deine Anleitung) ausführen um das Zertifikat welches am 24.8.2012 abläuft zu erneuern? Bei diesem hatte ich immer die Fehlermeldung bekommen ...
Bitte warten ..
Mitglied: SlainteMhath
27.07.2012 um 09:59 Uhr
Es gibt nicht "das aktive" Cert. Es gibt nur Certs mit Status "valid". Wenn dann die Cert.Domain zur Domain des Connectors/Services passt wird es genommen.

Am besten zu sehen mit
01.
Get-ExchangeCertificate |fl status, thumb*, servi*, not*, certificated*
Bitte warten ..
Mitglied: anve
27.07.2012, aktualisiert 30.07.2012
Das mit valid habe ich mir schon gedacht. Das interessante dabei ist nur, dass das zu ersetzende Zertifikat immer noch da ist und nun beide valid sind (aktiv). Das Zertifikat welches ersetzt werden sollte:

Status : Valid
Thumbprint : 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D
Services : IIS, SMTP
NotAfter : 24.08.2012 08:55:23
NotBefore : 25.08.2010 08:55:23
CertificateDomains : {Sites, pcname.domain.local}

Das neue Zertifikat (Ersatz):

Status : Valid
Thumbprint : 112C10E63F1E1F91AB810DCDA4066E503DCA7A2B
Services : IIS, SMTP
NotAfter : 27.07.2017 09:17:15
NotBefore : 27.07.2012 09:17:15
CertificateDomains : {PCName, pcname.domain.local}

Das Zertifkat BE348A18EB1EED0F182E3C9AF2E7577ADD6EE969 sollte auch erneuert werden (läuft auch bald ab). Ich warte mal ab ob das mit dem Zertifkat 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D geklappt hat. Sollte ja alles passen oder?

Update

So ich wollte jetzt einfach "New-ExchangeCertificate" ausführen und da will er mein zuvor erstelltes Zertifikat was noch lange gültig ist überschreiben!


[PS] C:\Windows\System32>New-ExchangeCertificate
WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Bestätigung
Soll das vorhandene SMTP-Standardzertifikat
'112C10E63F1E1F91AB810DCDA4066E503DCA7A2B' (läuft ab am 27.07.2017 09:17:15)
mit Zertifikat '5D3E44FA83DFB274966D08DC9CF5AEBECBC99DA5' (läuft ab am
30.07.2017 11:32:11) überschrieben werden?
[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe
(Der Standardwert ist "J"):

Ich brauche aber ein neues Zertifikat für 4E1C89B67081422F6A9C1FB9C1745AC351D8C74D. Ich werde trotzdem eines erstellen (Nein, keine) und die Services zuweisen ...

Habe das Zertifikat wieder gelöscht und eine neues erstellt.

New-ExchangeCertificate -DomainName mail.domain.de -Subject "CN=mail.domain.at,OU=Technik,O=Name,L=Köln,C=DE" -Services IMAP,POP,SMTP

Dabei habe ich folgende Warnung bekommen

WARNUNG: Dieses Zertifikat wird nicht für externe TLS-Verbindungen mit einem
FQDN von 'servername.domain.local' verwendet, weil das von einer CA signierte
Zertifikat mit dem Fingerabdruck 'FD5FC82528FE866955D533C9C27744336C351998'
den Vorrang übernimmt. Die folgenden Connectors stimmen mit dem betreffenden
FQDN überein: Default servername, Client servername.

Ich ignoriere das einmal. Wenn ich mir jetzt die Zertifikate ansehe, dann ist das neue Zertifkat fast ident mit dem alten. Aber es gibt folgende Unterschiede:

  • self-signed ist true (beim neuen)
  • issuer steht das was ich bei Subject eingetragen habe (beim alten steht CN=domain-servername-CA)

Sind die Unterschiede relevant?

So habe jetzt den "Microsoft Exchange-Transport" Dienst neu gestartet. Jedoch sehe ich immer noch die alten Zertifikte drinnen, wenn ich Outlook Web Access öffne ... Was mache ich falsch?
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Kurze Frage Outlook Anywhere Zertifikat Name

gelöst Frage von NugglerExchange Server2 Kommentare

Guten Morgen, ich habe eine ganz kurze Frage zu Outlook Anywhere und dem Sicherheitszertifikat. Ich habe in der Firma ...

Exchange Server

Nach Zertifikats wechsel und Server neustart läuft der Exchange nicht mehr

gelöst Frage von roeggiExchange Server4 Kommentare

Hallo Zusammen Ich habe ein grosses Problem. Ich habe das Zertifikat geändert.als der Server wegen Updatesinstallation neustartete funktionierte der ...

iOS

Kurze Frage zu den aktuellen iPhones und ob diese schon meckern wenn man eine Seite mit StartCom Zertifikaten aufruft

gelöst Frage von 131381iOS2 Kommentare

Moin Kollegen nur eine kurze Nachfrage da ich hier momentan kein iPhone zum Testen da habe. Wie sie es ...

Verschlüsselung & Zertifikate

Beißen sich SAN-Zertifikat und Wildcard-Zertifikat?

gelöst Frage von SlimButchVerschlüsselung & Zertifikate2 Kommentare

Hallo allerseits, ich habe eine Frage an euch bezüglich SSL Zertifikate, zu der ich bisher keine passende Antwort gefunden ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 18 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung22 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...